心动吧黑客BLOG

 这一个文章和我以前发布的一个文章正好成了一个对比（文章连接），如果上一次是茅。那么此次这个就是盾了.为什么这样说？请看一下上一篇的文章。因为上一次是直接修改数据库的防下载表而不会造成数据沉淀在数据库里面。那么换一个思想来讲。假设在数据库当中并没有这一个防下载表。但是却有防下载功能。

例图：

 先要在此感谢evil的提醒,昨天(2009-3-11)时上网后。发现网上有很多新版本的SHELL发布。而且还声称是终结版(我自己都没把自己终结。倒被你终结了).而且采用了加密手段。。现在我将下载回来程序。。打开并分析一下。现在把报告给大家。请慎重使用。。。。

心动吧asp在线-不加密加强版-是市面上目前功能最强的.速度最好的一款asp后门

 此内部版修正了:关于无端口的sql连接出错.通用三种SQL连接方式

明生注：利用sa权限返回一个cmd执行权限..这样就可以为所欲为了。。哈哈（别干坏事...知道方法就塞住他免得被人入侵）。

然后通过SA Exploiter and Windows Bind Shell 进行入侵 反弹一个cmd回来

转自:TR博客

The most advanced GUI tool for aiding in full compromises of MSSQL servers via SQL injection.

Author: Scott White, Senior Security Consultant



Release:  August 10, 2008 by SecureState, 2pm at Defcon 16, Las Vegas, NV

 

...

conn.asp木有做好防注入,

ftbbsmyinfo.asp里又JB来一注入,绝配..

贴上ftbbsmyinfo.asp源码:

ASP/Visual Basic代码

<%   

postuserid=request.QueryString(”postuserid”)   

ftbbsuser=request.QueryString(”ftbbsuser”)   

call FTBBS_HTML_MB(ft

....

明生注：写着不错。以后要教小朋友的时候可以叫他来看看这个文章所以就转过来了

  大家还记得mssql的跨库查询吧，其实在access中也可以实现2个数据之间的交叉查询。下面我就给大家介绍下access的跨库查询。

....

首先让我们看看在access里是怎样实现对mdb文件进行查询的，我们随便创建个空数据库，对数据库D:\daos\db\daidalos.mdb里的admin表的内容进行查询，SQL语句为：

ECSHOP是一款开源免费的网上商店系统。由专业的开发团队升级维护，为您提供及时高效的技术支持，您还可以根据自己的商务特征对ECSHOP进行定制，增加自己商城的特色功能。（官方介绍）

ECSHOP前段时间出了个注射漏洞：http://bbs.wolvez.org/topic/67/，拿后台权限应该没有问题，但文章没有提及如何在后台拿shell。昨天可乐在t00ls.Net上发帖问如何拿shell，无聊中我baidu、 google了下，网上貌似没有拿shell的办法。好久没读代码了，无聊中下了ECSHOP最新版（V2.6.2）的源码过来读，很庆幸，给我找到一个可以直接写shell的文件。与注射一样，同样是个变化未初始化导致的问题，于是，同样只能用在register_globals为on的环境下。

 

integrate.php第740行起：

...

明生注：此文章来源于二个网站的结合。。

is_numeric()常常用来在进行数据库查询时检测变量是否为数字或者数字字符串,如下面的代码片断:

...
$tid = isset($tid) && is_numeric($tid) ? $tid : 0;
$db->query("SELECT * FROM threads LIMIT $tid");
...

但is_numeric()不仅支持十进制数字,也支持如十六进制等其他进制的数字,比如提交:

        tid=0x1

执行上面的代码,报错了:

....

#Trace: Sid总结的。补充的在留言里贴吧。

SQL Server 2000:-

SELECT password from master.dbo.sysxlogins where name='sa' 

0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341

2FD54D6119FFF04129A1D72E7C3194F7284A7F3A

0×0100- constant header

34767D5C- salt

0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash

2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash

....

装了一个oracle db11g，于是想试一下网上流传的在sqlplus中执行cmd的一些命令，也不知怎么的，没一个好用的，可能是网上转来转去的转错了．不过有一个简单的执行cmd命令方法：

SQL> host net user

User accounts for \\PC-ATQHJ4UG1SDA

----------------------------------------------------------------------------

__vmware_user__          admin                    Administrator

ASPNET                   Guest                    IUSR_PC-ATQHJ4UG1SDA

IWAM_PC-ATQHJ4UG1SDA     SUPPORT_388945a0

The command completed successfully.

....

影响版本:

Yxbbs3.0

漏洞描述:

yxbbs在用户注册时，会实时检测用户名是否已存在以及用户名是否合法，不过服务端在检测时，对用户提交数据检验不够，本来人性化的一个功能，引入了一个注入点。具体涉及文件See.asp，对用户提交的  name = unescape(Request("name")) 并未做任何检验。 测试URL：

http://www.yimxu.com/bbs/See.Asp?Action=CheckName&name=yxbbs' and (select top 1 asc(mid(password,1,1)) from yx_admin)>56 and '1'='1

.....

明生注：这一个文章虽然最后没有贴出代码来表明绕过限制的原理..感觉有点问题...哈哈一时想不出来。。先加上。以后想到补回来

适合读者：脚本入侵爱好者、脚本程序员

前置知识：基本ASP代码阅读能力

    近来忙着开发一个WAP手机网站，好几天都没有好好睡觉了，就是因为UTF_8转换为GB问题。网上虽然有现成的ASP脚本可以转换，但在转换过程中还是有些字符转换不了。无奈中在某个开发成功的WAP手机站页面中找到了一个技术人员的QQ，可惜在我诚心的请教下，他却说：“商业代码，不能公开！”。我无语，这算是高深的技术吗？难怪中国的技术进步得那么的缓慢，都是有了这一种保守派，不愿意和人分享技术成果而造成的。烦恼中……我突然谋生出了歪念，他不说给我听，还装神秘，好，你不说我就自己“进去”找吧！

...

有下面的一段代码：　

<%　dim　name,title　
name=trim(request.form("name"))　
password=trim(request.form("password"))　
if　name=""or password="" then　response.redirect　"error.asp?error=name&name=null"
myDSN="DSN=test;uid=test;pwd=test"　
set　cn=server.createobject("adodb.connection")　
cn.open　myDSN　
sql="insert　into　test(name,title)　values('"&name&"','"&password&"')"　
cn.execute(sql)　
cn.close %>　

　　使用了

....